丨划重点

国家级网络攻击预谋时间长,从渗透到进入目标潜伏下来,中间可能需数年,有可能在机密资料被人拿走后仍无任何察觉。

360从一家to C的公司变成了一家to N(国家)的企业,再把服务国家的能力提炼出来,赋能政府、城市和大型企业和中小微。

传统安全行业喜欢卖货,好像卖了更多的安全设备给用户就解决了问题,数字时代万物皆服务,软件即服务,数据即服务,安全也即服务。

不认同风口论,猪都在天上飞的时候,你才知道肯定晚了,如果连老太太都在跟你谈NFT要不要收藏一点,这已经不代表未来。

很多元宇宙希望进化到像《黑客帝国》那种状态,生活在虚拟和现实不搭界的世界,加上脑机接口,我觉得不现实,人就变成人肉电池了。

未来的东西可能是潜伏在一堆噪音里微弱的信号,而不是敲锣打鼓来的,今天说互联网伟大,是一个马后炮式的总结。

丨概述

2016年,「互联网下半场」的概念被提出。上下半场之分,虽然全行业都没有明确的标尺和界限,但所有的参与者,都能够切身的感受到,靠吃行业红利的野蛮生长的时代基本告一段落,互联网行业正在进入一个新的时代。

在这个过程中,不断有旧产业形态被淘汰,同时也有新产业变成旧产业,更有新产业快速崛起。

产业更替快速变换,安全、隐私问题也屡有发生,黑客攻击、病毒勒索、大规模的数据和隐私泄露等等,对用户和行业都造成了极大的威胁。

如何看待互联网行业上半场的发展和问题,未来的发展走势又会有哪些确定和不确定性,这可能是全行业都在关注的问题,简单总结,即互联网行业的问题是什么,机遇又在哪里?

9月21日晚间,《亮见》联合腾讯科技,特邀360集团创始人周鸿祎,直播解读「互联网行业的新蓝海」,以下为直播内容精华版:

01

没有攻不破的网络

刘兴亮:美国国家安全局攻击西北工业大学,360也发布了相关报告,可以为我们解读一下事情的相关背景吗?

周鸿祎:360联合国家计算机病毒中心共同发布了一篇很详细的报告(《关于西北工业大学遭受境外网络攻击的调查报告》)。

简单来说,即西北工业大学发现有黑客发送钓鱼邮件给教职员工后报案,360受邀参与调查,全程参与了定位、清理、分析等环节的工作,最后发现美国NSA(国家安全局)旗下最强的网络战部队:TAO(接入技术行动处)部队,使用十几种网络武器,利用多个尚未被发现的漏洞,对西北工业大学校内多款服务器进行入侵、渗透,包括潜伏。

其实,在此之前,已经多次发现并且定位美国国安局对我国关键部门的网络攻击和渗透潜伏,我们将这个攻击组织命名为“APT-C-40”。

通过本次发生的网络安全事件,有必要提醒大家:第一,网络攻击一直都是在秘密地进行,它不分战时、平时,而且越是在和平时期,国与国之间的角力反而越依赖网络攻击。第二,数字时代,网络攻击的发起者已经上升成为国家级对手或者专业的黑产、专业的勒索组织,对手和原来发生了很大的变化;第三,“看得见的攻击”都不是国家级网络攻击,真正的攻击,例如我们分析西工大此次遭受的攻击一样,会发现它是来无影去无踪,整个过程是秘密作战。

我们使用“APT”(高级可持续威胁/Advanced Persistent Threat)作为国家级网络攻击的代名词,此类攻击预谋时间之长,从渗透到某一台电脑里的网络中,再到进入目标潜伏下来中间可能需要数年的时间,而且都是利用你尚且不知道的漏洞以神不知之鬼不觉的方式来控制你的电脑与服务器,所以作战手法会有非常大的变化,后果很严重,很有可能在机密资料被人拿走后仍无任何察觉。

随着中国数字化进程的发展,越来越多的关键基础设施、工业互联网、车联网,过去不联网的设备、单位都接入网络,一旦被网络攻击后整个社会基础就会出现问题,所以网络攻击的后果是非常严重的。

今天数字化、信息化时代,软件在定义整个世界,世界的基础都是架构在软件之上,所以漏洞不可穷尽,漏洞也不可全部修补,一定存在着我们尚未发现的漏洞被别人利用,因而就没有攻不破的网络。

过去很多公司卖货希望给你卖无数软硬件产品,最好把你的网络隔离起来,把你的网络像修城墙一样用安全产品堆起来,做到御敌于国门之外。现在的思路是解决中间“卡脖子”的问题,病毒可以进来,也防不住,有一万个漏洞就会有一万个方式进来,我无法知道你进来的时间和地点,但你进来之后只要作恶、移动、潜伏、偷文件往外传或者接收与你的控制端背后的黑客团队通信,我就能最快的看见,“看见”是应对未来国家网络战最大的问题。

02

从“to C”转向“to Nation”

刘兴亮:现在的360,和过去免费杀毒时代的360,是不是不太一样?

周鸿祎:免费杀毒时代的360,比较年少轻狂,通过免费冲进市场,在商业模式上创新,在用户体验上创新,也可以理解为互联网模式。

(前面提到的APT攻击)为什么中国其他的网安公司看不见?

首先,没有全球最大的安全大数据积累,没有亿级终端的积累,是发现不了的;其次,能玩转这么多大数据,只有像360这类的互联网公司,既能做搜索,也有安全浏览器;再者,做安全不挣钱,当初互联网模式一年最多可以拿出几十亿的现金反哺安全业务,过去十几年,总投入200-300亿元。在这个过程中,360也不知不觉变成全球安全大数据最大的公司,安全样本库最多的公司,也是“看见”和分析能力最强大的公司。

刘兴亮:这种转变,是无意的,还是设计好的?

周鸿祎:起初是无意的,因为给十几亿用户做免费服务,需要建立强大的服务体系。回过头来看,我们是云原生的SaaS化服务,装客户端软件并不重要,重要的是所有安全数据都在云端进行分析、判断。

近年来,特别是2016年我开始意识到,360与国家安全有密切的关系,那时候作为一家美国上市公司,我们也意识到网络安全这件事和国家利益密切相关,它不是一个生意,包括美国的安全公司的同行,他们在捍卫美国的国家利益方面,一样是不遗余力的。

所以,我2016年选择退市,变成内资公司,一个民企并在国内A股上市,解决了身份问题之后,我就发现可以转型,为国家的网络安全做很多支持。

所以,这些年下来,我们用数字安全大脑,大数据分析的能力帮助国家做国家级攻击的预警、监测、防御和分析工作,帮助国家做实网攻防的演练,包括承接了大数据与安全实验室,安全大脑这种人工智能平台等等。

所以,to C还是继续免费,但360从一家to C的公司变成了一家to Nation,面向国家服务的企业。一是面向城市和各级政府提供安全服务,二是面向很多大型企业,甚至中小微企业。

现如今,企业都在实现数字化,但数字化有内在的脆弱性。越数字化就越是软件定义,越有软件就越容易被人攻击,都需要安全的服务,包括面向城市,以城市为核心,帮城市建立数字安全运营中心。

接下来,城市越来越成为数字化攻击将来的重点,因为数字经济和产业数字化,产业互联网都是依托城市,很多关键基础设施也都是在城市里。随着数字政府和智慧城市的发展,水电气生命线数字化之后,城市未来越来越会成为网络攻击的主要对象。

所以,我们现在赋能给城市,赋能给企业,赋能给政府,同时也收取相应的费用,这和原来的免费模式不一样。但免费依然会在,比如现在面对中小企业,特别是小微企业。

对很多中小企业来讲,内部的知识,数据,客户资料就是最大的价值,这些数字资产也很重要。所以,我们就把原来给大企业提供的比较专业化,比较复杂的安全大脑服务,把它变成SaaS(软件即服务的)化服务,这样我们收费很低廉。过去1万元一个网管都招聘不到,现在一年只要花1万元,就能把你所有的设备都管起来,所有的资产管起来,所有的软件管起来,所有的电脑管起来,更不要说杀毒。

360现在也在转型,我称之为“上山下海,扶助中小微”。“上山”就是登科技高峰,我强大了,为国家解决一些“卡脖子”问题。“下海”就是下数字化蓝海,因为整个中国数字化战略里,我认为最大的机会就是产业数字化。

03

数字化让世界变得“脆弱”,万物皆为服务

刘兴亮:刚才提到数字产业化,产业数字化,对它们有什么看法吗?

周鸿祎:过去很多人对数字经济有误解,实际今后所有的经济都是数字经济,所有的经济都离不开数字化技术,今年我们可以很骄傲地讲,进入数字文明时代,我们转型为一家数字安全公司,对整个经济都是有保驾护航的作用的。

刘兴亮:刚才反复提到一个词叫数字安全,网络安全到数字安全,区别是什么?

周鸿祎:网络安全解决的是小安全问题,过去有防火墙,有杀毒软件,对一般的小木马、小黑客、小黑产基本就能解决问题,但到了数字化时代变成大安全,对手变了,手法变了,投入的资源也变了。

今天数字化时代有几个特征,叫“一切皆可编程,万物均要互联,大数据驱动业务,软件定义世界”。所以数字化一定会用数字化技术,这四个特征决定了数字化带来的先天的脆弱性,让攻击变得更容易发生,包括现在很多攻击直接把数据一毁坏,把数据一加密,整个系统就瘫痪了。所以,数字化会让我们这个世界变得更加脆弱。

数字化技术又很多,有云的技术,有大数据的技术,有人工智能的技术,每一个技术都带来了新的安全挑战。所以,光用一个安全很难涵盖。你可以看到,最近我们国家有关部门通过了《网络安全法》又通过了一个《数据安全法》,网络安全、数据安全、人工智能安全,所有这些新技术都会带来新的安全挑战。而数字化技术有很多场景,比如在城市里有智慧城市,在政府里有数字政府,工业互联网、车联网、智慧金融、数字人民币、智慧医疗、智慧能源。

数字化场景的充分使用又带来了各种新的安全挑战。为什么那时候没有谈信息技术,现在谈数字经济?信息化是在“术”,是在局部使用,对我们一些业务流程进行改善;数字化是“道”,是把我们各个产业,包括政府的治理方式,社会运转方式,把它各个环节都进行了重塑,进行了再造,甚至数字化比较高阶阶段叫“数字孪生”,这样就带来了这个安全挑战和原来信息化时代挑战非常不一样。

这时候你要把问题定义小了,定义错了,这时候会发生战略性的判断错误。我的建议是把网络安全重新定义成“数字安全”。所以今天提起数字安全更能表达我们今天面临数字安全面对的复杂性、丰富性和挑战性。

另外数字安全要解决什么问题?第一,数字时代的安全要用数字化思维来解决,不要再用原来碎片化思维来解决,也就是大数据至上,我们必须用大数据分析统一研判,统一作战平台的方式把所有安全的相关大数据汇总起来,我们才能解决“看见”的问题,这本身就用大数据解决数字安全的问题。其实360原来在网上就被称为“数字公司”,我的名字就是“数字”。

第二到了数字安全时代,刚才给你举的例子,各种APT攻击,勒索攻击已经不再是幻想,已经每天在发生。所以,要从传统的,我们要用实战对抗的视角来衡量,所以,安全能力一定要在实战中经过检验,就像360在实战中每天查杀600亿病毒木马,发现了这么多国家级黑客组织,这都是在实战中取得的成果。

第三,过去网络安全时代喜欢卖货,好像卖了更多的设备给用户就解决了问题。我认为到了数字时代,万物皆服务,软件即服务,数据即服务,安全也即服务,所以,未来的安全一定是服务。

04

不认同风口论,产业数字化是蓝海,SaaS将在中国爆发

刘兴亮:未来的世界里,不管是叫它互联网的下半场,还是未来的数字经济,数字社会,有什么趋势,蓝海在哪?

周鸿祎:第一,我自己认为未来蓝海还有很多,但不太认同风口论,猪都在天上飞的时候,连猪都知道风来了,全世界都知道,就剩你不知道,那肯定已经晚了。如果连老太太都在跟你谈NFT要不要收藏一点的话,这已经不代表未来。所以,风口实际是大家做马后炮总结说什么是风口,这是我第一个反对的东西。

第二,我反对概念,比如未来是5G,未来是移动通信的世界,未来是Web3,这句话是没有错误,但也只代表方向正确不正确。

第三,如果从大概念来说,我认为蓝海就是产业数字化。

中国前面20年是互联网的上半场,是腾讯、阿里、百度、360等公司用数字化的方式解决了老百姓消费互联网生活方式的数字化,因为巨大的人口红利,所以有很多场景的创新,有很多应用体验的创新,改变了中国互联网,但下半场,未来20年我认为主角应该是各级政府,主角是各种传统企业,特别是制造企业,中国的传统产业他们今天如何用云计算、大数据、人工智能、物联网、数字化安全,把业务再造一遍,就意味着每个行业都值得重做一遍(这就是蓝海)。

比如共享单车,我依然觉得这是很了不起的产业互联网的典型,一个普普通通的单车,也没有加发动机,也没有加翅膀,就装了一个智能锁和App连起来,就随时随地可以骑车完成最后两公里的旅行,这就是把一个行业用数字化再造,从量变产生了质变。

创业小伙伴肯定会熟悉很多普通的行业,你就得想不管是卖白菜还是卖红薯,不管是造白酒的还是盖房子,这么多行业要想如何与数字化结合起来,也就是变成数字化企业,你的经济产出也变成数字经济的一部分,这是一个巨大的蓝海,但这个蓝海是一个概念,产业数字化是个大的方向,里面会有具体的赛道,要结合行业来看。

谈未来,我对行业还有一个建议,最好“大处着眼,小处着手”。

虽然我们说向乔布斯学习,改变世界,但乔布斯也不是天天说大话改变世界,他是做了一个iPod,做了一个iPhone,做了一个具体的产品,没有iPod就没有iPhone,iPod就是一个MP3播放器,当年很多人看不上,芯片也很便宜,播放器也很便宜,但做出了创新。今天谈Web3.0,谈数字孪生,谈产业互联网,产业数字化,这些都是正确的概念,也是正确的废话,因为这是代表了东西南北一个大方向,但是你一定要小处着手,要找到具体的场景在这个场景上,通过数字化技术解决了用户问题,解决用户痛点,解决用户刚需,创造价值,往往伟大的创新都是由一些不起眼的小事儿先启动的。

我们可以谈蓝海可以谈概念,所有数字化的技术,从云计算到到物联网,到区块链都是正确的赛道,但在这个赛道里,在这个方向里你找到什么切入点是很重要的。数字孪生、元宇宙这种词很多,我说“永远正确的废话”,肯定没错。

刘兴亮:还是要从自己擅长的行业切入。不管产业数字化还是数字经济,未来的主角是这些传统企业,可能是政府,我们互联网企业可能变成配角了,是这样的吗?

周鸿祎:我认为甘当配角没什么不好,互联网作为一个产业,消费互联网就这么大的规模,我们很多实业要发展起来,制造业、基础科学、生物很多东西都需要发展起来,中国还有巨大的红利,各种各样的场景机会。

传统企业再数字化,市场可能要比互联网上半场大10倍都不止,这对创业者是巨大的机会,包括最近的SaaS(软件即服务)。近几年,美国出现SaaS爆炸性增长,我认为,SaaS绝对是颠覆性机会,SaaS改变了传统企业数字化的方式。

传统企业数字化或信息化有个概念叫Enterprise Software或Enterprise Application企业级应用或企业级软件。软件非常复杂、难用、贵,还需要花很多钱定制、本地部署,还要严格地交付需要培训、大量的测试,所以没有几年时间想要实现ERP和财务系统就特别难,也只有大企业才用得起。

今天以SaaS为代表的轻量级的,只要有电脑,有浏览器,能联网,登录个账号就能用,而且SaaS解决不了Total solution,就解决你一个问题,解决你员工报销的问题,解决你差旅出差订酒店的问题,解决你员工远程面试的问题,像Zoom、远程开会解决你开会的问题,有点像当年数字化AppStore,将来会出现很多SaaS应用。

因为SaaS门槛很低,有“三低”:第一,简单易用上手成本低;第二,部署成本极低,基本没有部署的概念;第三,服务收费低,一个账号一年下来可能19美金、39美金、99美金,都是不到100美金的标价。

我说SaaS方向,你不能明天你创业方向说我要做SaaS,你要回答一个问题,你选什么赛道,你要想面对什么样的客户,选择什么样具体的场景,解决企业什么问题,围绕这个就可以做个SaaS。

苹果牛在他创造了一个AppStore,你用手机,除了微信、支付宝这些超级App之外,绝大部分App就解决一个问题。

我认为,SaaS在中国今天处于面临爆发的点,谁能为用户提供贴心的拎包入住的SaaS服务,谁就能赢得用户的认可,因为SaaS用户群太大了,但想做企业级软件能有几百、几千、几万个客户就非常了不起。

05

游戏是天生的元宇宙,通用的元宇宙没有意义

刘兴亮:我看你们公司搞的一个活动,有个App是元宇宙火爆时期憋出来的,这段时间你对元宇宙有什么新看法吗?

周鸿祎:我个人觉得,元宇宙一万人有一万个人的版本,对于新东西我一般在没搞懂的时候先吐槽,肯定不会有错。区块链发币,我个人觉得是有问题的,我也不看好元宇宙房地产,因为在现实生活中我们都讲“房住不炒”,更何况在元宇宙虚拟空间里,数字空间里,它所谓的虚拟数字土地的供给实际是无限的。

游戏就是天生的元宇宙,游戏给我们提供了一种虚拟的场景,我可以干线下干不了的事,但是你很难做到大一统,不同的游戏提供不同的场景,你很难提供一个元宇宙满足不同人,在不同情况下的各种幻想,所以我对统一的元宇宙平台持一种怀疑态度。我认为将来就像网站、App一样,一定是不同的元宇宙解决不同的问题。

刘兴亮:垂直元宇宙是吗?

周鸿祎:对,现在太多人希望搭一个大一统平台,我认为可能很难满足诉求。

很多元宇宙希望进化到像《黑客帝国》那种状态,人完全生活在虚拟和现实不搭界的世界里,再加上脑机接口,我觉得不现实,人就变成人肉电池了。

元宇宙,我自己理解就是数字孪生的VR版或3D版,也就是说数字孪生把我们这个不可计算的世界变得可以计算,数字孪生把我们的世界在虚拟世界里做了一个映射,因为虚拟世界的映射可以被计算,可以重新建模,修改规则,违背物理定律。

但我们做虚拟世界的目的是为了让现实世界的东西在里面可计算之后,解决现实里人与人沟通的问题,解决交流的效率问题,解决人工智能计算模型的问题,最后还是要反过来帮助我们把现实世界变得更好。

将来的元宇宙有医疗元宇宙,有旅游元宇宙,生产制造元宇宙,你可以把元宇宙当作数字化的代名词,数字孪生代名词,做通用的元宇宙没有意义。元宇宙在不同的场景里,比如将来远程问诊,这时候就要把你数字化虚拟出来,医生数字化并不重要,医生要替你诊断,远程手术或远程会诊。

所以,不同的元宇宙一定有不同的数字化解决方案,不是一刀切,一个元宇宙言必称AR,言必称3D,这没有必要。

06

新技术不急于谈伟大,先从改变工作生活方式开始

刘兴亮:如何看待现在热议的web3?

周鸿祎:我看不清,所以不敢轻易否定,但再牛的技术不能光讲改变世界。我认为,光说改变世界,有伟大想法的东西不一定是伟大的。

英特尔的安迪格鲁夫博士在《只有偏执狂才能生存》的书里讲到,未来的东西可能是潜伏在一堆噪音里微弱的信号,而不是敲锣打鼓来的。

所以判断一个东西能不能改变世界,不用宏大的叙事,从微观上判断,能不能举出一个场景,比如用Web3,区块链技术,解决生活工作中遇到哪怕很小的问题,而且这个问题很多人都会遇到,这样就会给很多人创造价值。

比如互联网就像今天你再不懂它的伟大性,不懂它的技术,互联网刚出来时,说用户在网站上可以下载免费软件,下载歌曲,我就觉得这是一场革命。所以,很多人在网络上下载歌、软件,尽管不知道HTTP下载的道理,也不知道多线程下载的技术怎么实现的,但它确实给我们带来了方便。

今天说互联网很伟大,改变了我们的生活方式,这是一个马后炮式的总结,互联网刚开始时没有人因为互联网伟大去投资。今天互联网有价值是因为它改变了特定的场景,创造了更多的价值,所以价值才被更多人分享,价值不是个零和游戏。

今天我们看到一些web3的商业模式,都是做一些交易所,他并没有创造额外的价值,只不过是实现了你的钱装到我的口袋里,或者我的钱装到你的口袋里,除了币圈、链圈那么一小群人,我们身边的普通用户并没有感受到它的价值。

我也阅读过很不错的Web3文章写得很生动,有时候我也会感慨自己是不是老了,变成腐朽的保守派对新的东西没感觉了。后来我也努力见到年轻的创业者也很虚心向他们求教,但目前我的考题还没有人(能回答)。

我认为,你可以不回答我的问题,但在市场中要获得成功,一定要给全中国人民回答一个问题,它能解决什么问题?

Google出来时,没有讲他的PageRank技术,也没有讲它的后台用了多少牛的Linux技术,而只是把所有的技术藏在一个简单的搜索框后面,你只要打出一个关键词就可以找出你想要的结果,不觉得这样的产品,改变了你的生活和工作方式吗?

从硅谷70-80年代发展,惠普上世纪40年代的发展,到后来80年代的发展,到中国互联网20年的发展,再算上中国信息产业30年的发展最后只要在市场经济下面,用户不是为你的技术买单,不是为你的口号和理念买单,而是为你解决他什么问题,满足他什么需求而买单。

刘兴亮:看看能不能解决任何小的问题,到底是帮助别人干了什么,而且这能不能改变别人的一种生活方式。包括我们今天做直播,我认为直播就是改变了我们生活方式的这样一个领域。

周鸿祎:最后我再讲三个例子,第一个是乔布斯。乔布斯1997年回苹果,用了四年时间实际没有找到方向感,Macintosh很难和Windows竞争,直到第一个转折点——iPod。

如果你坐时光机回到那个时候,iPod作为MP3播放器,没有多少人会觉得这玩意儿是多牛的技术,芯片也是别人的,硬盘是东芝,壳子是中国设计的,歌是从网上下载的。谁也没想到有了iPod才有了iPhone,对无线互联网的改变。

第二个就是Facebook。应该说扎克伯格当年是个很牛的青年创业者,最早他们在哈佛里做出“脸书”这个概念是为了什么?解决两个问题,一是看照片约会;二是不爱上课的学生们,需要有个课程表,能够查到什么时候可以上课了,都是从很小的诉求开始。

最近打动我的一个例子是NVIDIA黄仁勋介绍他早期如何做显卡。今天英伟达可谓风口浪尖,所有的大数据计算,所有的人工智能都基于他的GPU智能平台,但他当年做显卡时哪里想到今天会有这种并行计算,哪想到人工智能突然爆起了,那时候只是为了替游戏用户解决游戏的体验。

今天一提起游戏,很多正人君子都非常不屑,都觉得游戏怎么样。我曾经举过例子,因为有了游戏的存在才有了GPU的出现,有了GPU的出现才催生了并行计算,在电脑上可以变成超级主机,才变成了今天的人工智能、深度学习的爆发。所以,很多伟大的东西真的不是在一开始你天天念叨它伟大,它就会改变世界。

前面举例的几个案例现在都是成功的企业家,他们成功以后的气吞山河,运筹帷幄这种是学不到的,要学他们刚创业时如何找到单点的突破,找到具体场景解决问题。

今天谈Web3,谈NFT,谈区块链,谈元宇宙的这些创业者,我依然很相信,可能是正确的,可能未来的世界在你们手里,但请你们能够把它更加得聚焦,专注一点,选择一个小切口切进来,证明你确实是有能力,改变世界,先从改变工作方式和生活方式开始。